鐵路安全信號(hào)平臺(tái)開發(fā)中的安全管理實(shí)踐

1、鐵路安全信號(hào)平臺(tái)開發(fā)中的安全管理實(shí)踐摘要：介紹了某鐵路安全信號(hào)平臺(tái)開發(fā)中符合EN50126系列歐洲標(biāo)準(zhǔn)的安全管理實(shí)踐工作，論述了符合安全完整性等級(jí)4級(jí)（SIL4）的安全管理流程。本文首先對(duì)EN50126系列標(biāo)準(zhǔn)中有關(guān)安全管理工作的相關(guān)規(guī)定進(jìn)行綜述；然后結(jié)合安全信號(hào)平臺(tái)研究開發(fā)過(guò)程，著重介紹了符合SIL4的安全管理流程和實(shí)踐方案；最后對(duì)安全管理對(duì)平臺(tái)開發(fā)的實(shí)踐意義進(jìn)行總結(jié)。關(guān)鍵詞：RAMS 安全管理 安全完整性等級(jí) 安全信號(hào)平臺(tái)Abstract: The practical work of safety management in compliance with the EN50126 seri

2、al European Standards during the development of a railway safety signalling platform is proposed. The safety management flow against safety integrity level 4 (SIL4) is also introduced. Firstly, this paper presents a summary on safety management roles in the EN50126 serial European Standards. Secondl

3、y, the SIL4 safety management processes and practices are introduced with the research and development process of the safety signalling platform. Finally, the practical significance of safety management to the platform is summed up.Key words: RAMS, safety management, safety integrity level, safety s

4、ignalling platform隨著經(jīng)濟(jì)和軌道運(yùn)輸業(yè)的飛速發(fā)展，特別是高速鐵路和高密度城市軌道的建設(shè)，世界上包括發(fā)達(dá)國(guó)家和發(fā)展中國(guó)家在內(nèi)的許多國(guó)家已經(jīng)越來(lái)越認(rèn)識(shí)到鐵路產(chǎn)品可靠性，可用性，可維護(hù)性和安全性（RAMS）的重要性。因?yàn)楫a(chǎn)品的可靠性，可用性，可維護(hù)性和安全性與鐵路運(yùn)營(yíng)的性能密切相關(guān)，失去任何一個(gè)性能，將對(duì)鐵路的正常運(yùn)營(yíng)產(chǎn)生嚴(yán)重影響。特別是安全性，它是鐵路信號(hào)產(chǎn)品的關(guān)鍵特征。本文首先對(duì)EN50126系列歐洲標(biāo)準(zhǔn)進(jìn)行介紹，明確不同標(biāo)準(zhǔn)的相互制約關(guān)系和適用范圍；然后結(jié)合某鐵路安全信號(hào)平臺(tái)的研究開發(fā)過(guò)程，對(duì)如何構(gòu)建符合歐洲標(biāo)準(zhǔn)的安全管理系統(tǒng)進(jìn)行綜述；對(duì)項(xiàng)目進(jìn)展過(guò)程中安全管理系統(tǒng)的實(shí)際運(yùn)行和

5、相關(guān)經(jīng)驗(yàn)進(jìn)行總結(jié)，論述如何通過(guò)安全管理手段，在相關(guān)技術(shù)安全手段和質(zhì)量管理體系的配合下，使產(chǎn)品最終符合SIL4要求。1. EN50126系列歐洲標(biāo)準(zhǔn)為保證產(chǎn)品（系統(tǒng)）的高安全、高可靠性，歐洲電子與電氣委員會(huì)（CENELEC）制定了專門的標(biāo)準(zhǔn)，給鐵路關(guān)鍵應(yīng)用（特別是信號(hào)系統(tǒng)）的產(chǎn)品研發(fā)，設(shè)計(jì)和工程應(yīng)用提供了高層次的可以借鑒的指導(dǎo)標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)包括：EN50126：鐵路應(yīng)用可靠性，可用性，可維護(hù)性和安全性的規(guī)格和證明EN50128：鐵路應(yīng)用通信、信號(hào)和處理系統(tǒng)鐵路控制和防護(hù)系統(tǒng)軟件EN50129：鐵路應(yīng)用通信、信號(hào)和處理系統(tǒng)信號(hào)安全相關(guān)的電子系統(tǒng)歐聯(lián)盟國(guó)家已經(jīng)把這些標(biāo)準(zhǔn)作為鐵路信號(hào)項(xiàng)目必須遵循的法律

6、法規(guī)來(lái)對(duì)待。并且這些標(biāo)準(zhǔn)已經(jīng)被國(guó)際標(biāo)準(zhǔn)組織（IEC）所接受， 這些標(biāo)準(zhǔn)已經(jīng)成為國(guó)際標(biāo)準(zhǔn)。如IEC62278、IEC62279、IEC62425分別對(duì)應(yīng)于歐標(biāo)的EN50126、EN50128、EN50129。以上三個(gè)標(biāo)準(zhǔn)之間的關(guān)系如下圖所示1。圖 1 主要CENELEC鐵路應(yīng)用標(biāo)準(zhǔn)的關(guān)系圖其中，EN50126定義了系統(tǒng)可靠性、可用性、可維護(hù)性和安全性，并且規(guī)定了安全生命周期內(nèi)各個(gè)階段對(duì)RAMS的管理和要求。但是在該標(biāo)準(zhǔn)中未定義RAMS的具體的定量目標(biāo)。RAMS作為系統(tǒng)服務(wù)質(zhì)量衡量的一個(gè)重要特征，是在整個(gè)系統(tǒng)安全生命周期內(nèi)的各個(gè)階段通過(guò)設(shè)計(jì)理念、技術(shù)方法而得到的。為了達(dá)到規(guī)定的RAMS，必須針對(duì)前

7、面的RAMS影響因素，在整個(gè)系統(tǒng)的生命周期內(nèi)有效控制RAMS的影響因素，即系統(tǒng)的隨機(jī)故障和系統(tǒng)故障。EN50126要求在整個(gè)安全生命周期進(jìn)行RAMS管理，針對(duì)每個(gè)階段給出應(yīng)需要完成的RAMS任務(wù)，同時(shí)給出相關(guān)的具體文檔和要求2。由于在信號(hào)系統(tǒng)中采用計(jì)算機(jī)技術(shù)越來(lái)越廣泛，由軟件來(lái)承擔(dān)安全性需求的比重越來(lái)越大，因此軟件安全性問(wèn)題變得更加突出。為此EN50128針對(duì)軟件的安全保證提出了相關(guān)的規(guī)范和設(shè)計(jì)標(biāo)準(zhǔn)。在該標(biāo)準(zhǔn)中，對(duì)鐵路控制和防護(hù)系統(tǒng)的軟件進(jìn)行了安全完善度等級(jí)的劃分，針對(duì)不同的安全要求制訂了相應(yīng)的標(biāo)準(zhǔn)，按不同等級(jí)對(duì)整個(gè)軟件開發(fā)、檢查、評(píng)估、檢測(cè)過(guò)程包括對(duì)軟件需求規(guī)格書、測(cè)試規(guī)格書、軟件結(jié)構(gòu)、軟件

8、設(shè)計(jì)開發(fā)、軟件檢驗(yàn)和測(cè)試、軟硬件集成、軟件確認(rèn)評(píng)估、質(zhì)量保證、生命周期、文檔等提出相應(yīng)的程序與規(guī)范的要求2。EN50129定義了為了保證安全相關(guān)的鐵路信號(hào)電子系統(tǒng)所必須滿足的條件。這些條件包括： 質(zhì)量管理措施；安全管理措施；功能與技術(shù)安全措施以及安全接收與許可。對(duì)于安全管理，引入IEC61508提出的安全生命周期概念，就是說(shuō)對(duì)于安全相關(guān)系統(tǒng)的安全部分，在設(shè)計(jì)時(shí)按照該步驟進(jìn)行設(shè)計(jì)，并且需要進(jìn)行全程的安全評(píng)估和驗(yàn)證，目的是進(jìn)一步減少和安全相關(guān)的人為失誤，進(jìn)而減少系統(tǒng)故障風(fēng)險(xiǎn)2。系統(tǒng)的安全完整性是指在規(guī)定的條件下系統(tǒng)于給定時(shí)間內(nèi)滿意地實(shí)現(xiàn)所要求的安全功能的可能性3。安全相關(guān)系統(tǒng)中根據(jù)在安全

9、功能上對(duì)安全完整性的定量要求，將安全完整性分級(jí)，即安全完整性等級(jí)（Safety Integrity Level, SIL）。SIL通常由可定量計(jì)算部分（通常與硬件相關(guān)，如隨機(jī)失效）和不可定量計(jì)算部分（通常與軟件、技術(shù)規(guī)格、文檔和過(guò)程等的系統(tǒng)性失效相關(guān)）共同組成3。為了獲得實(shí)現(xiàn)系統(tǒng)指定功能安全完整性等級(jí)的信心，對(duì)于不可定量計(jì)算部分，需要完善的質(zhì)量管理體系和符合EN50126的安全管理體系來(lái)保證。2. 安全管理系統(tǒng)構(gòu)建安全管理過(guò)程的目的是進(jìn)一步減少安全相關(guān)的人為因素在整個(gè)產(chǎn)品生命周期中對(duì)系統(tǒng)的影響，從而降低安全相關(guān)的系統(tǒng)故障殘留風(fēng)險(xiǎn)。而使用安全管理過(guò)程對(duì)于安全完整性等級(jí)1到4是強(qiáng)制性的。安全管理過(guò)

10、程是由一些階段和活動(dòng)組成，將這些階段和活動(dòng)聯(lián)系起來(lái)就形成安全生命周期。安全生命周期應(yīng)與EN50126中定義的系統(tǒng)生命周期相一致，系統(tǒng)生命周期見(jiàn)圖 23。系統(tǒng)生命周期可以根據(jù)不同開發(fā)目的加以適當(dāng)調(diào)整。圖 2 系統(tǒng)生命周期示意圖考慮到某鐵路安全信號(hào)平臺(tái)的特點(diǎn)，本項(xiàng)目主要包括生命周期的1-10階段。通過(guò)對(duì)這些生命周期的分析，認(rèn)為可以將安全生命周期分為下面六個(gè)階段：階段1系統(tǒng)需求定義：此階段需要識(shí)別操作和維修策略；識(shí)別操作和維修環(huán)境；識(shí)別既有基礎(chǔ)設(shè)施限制產(chǎn)生的影響；評(píng)價(jià)以往RAM的經(jīng)驗(yàn)數(shù)據(jù)；進(jìn)行初步RAM分析；制定RAM政策；識(shí)別既有基礎(chǔ)設(shè)施限制對(duì)RAM產(chǎn)生的影響；評(píng)價(jià)以往安全性的經(jīng)驗(yàn)數(shù)據(jù)；進(jìn)行初步風(fēng)

11、險(xiǎn)分析；制定總體的安全性計(jì)劃；定義風(fēng)險(xiǎn)標(biāo)準(zhǔn)的可容許性并識(shí)別既有基礎(chǔ)設(shè)施限制對(duì)安全性的影響。階段2系統(tǒng)風(fēng)險(xiǎn)分析：此階段需要進(jìn)行系統(tǒng)危險(xiǎn)和安全性風(fēng)險(xiǎn)的分析；建立風(fēng)險(xiǎn)源日志；識(shí)別會(huì)導(dǎo)致風(fēng)險(xiǎn)的事件；進(jìn)行風(fēng)險(xiǎn)源識(shí)別以及安全性分析。階段3系統(tǒng)規(guī)范：此階段進(jìn)行需求分析，包括根據(jù)風(fēng)險(xiǎn)分析結(jié)果定義系統(tǒng)安全需求；定義安全接收準(zhǔn)則；建立用于控制各個(gè)不同生命周期安全任務(wù)的安全管理措施。階段4設(shè)計(jì)實(shí)現(xiàn)：此階段包括進(jìn)行系統(tǒng)結(jié)構(gòu)設(shè)計(jì)，并識(shí)別安全相關(guān)系統(tǒng)和非安全相關(guān)系統(tǒng)；對(duì)系統(tǒng)安全需求和安全目標(biāo)進(jìn)行分配；定義子系統(tǒng)或模塊的安全接收準(zhǔn)則；根據(jù)項(xiàng)目進(jìn)展適當(dāng)更新系統(tǒng)安全計(jì)劃；深入進(jìn)行風(fēng)險(xiǎn)源識(shí)別以及安全性分析；通過(guò)理論分析、會(huì)議回顧

12、、測(cè)試（軟件模塊測(cè)試、硬件模塊測(cè)試和集成測(cè)試）和驗(yàn)證手段系統(tǒng)或子系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)能夠滿足安全需求；對(duì)安全管理進(jìn)行過(guò)程控制，管理；準(zhǔn)備安全例證。階段5系統(tǒng)確認(rèn)：根據(jù)子系統(tǒng)測(cè)試報(bào)告、系統(tǒng)測(cè)試報(bào)告，以及系統(tǒng)各個(gè)階段的驗(yàn)證報(bào)告，確認(rèn)系統(tǒng)中所采用的風(fēng)險(xiǎn)控制或緩解措施能夠符合安全需求，并形成確認(rèn)報(bào)告階段6系統(tǒng)安全接收：此階段接受獨(dú)立的三方對(duì)產(chǎn)品進(jìn)行安全評(píng)估。下圖使用V形表示法對(duì)安全生命周期六個(gè)階段以及不同階段之間的驗(yàn)證/確認(rèn)關(guān)系進(jìn)行表示。圖 3 安全生命周期不同階段之間的確認(rèn)關(guān)系安全系統(tǒng)生命周期的設(shè)計(jì)和確認(rèn)過(guò)程可看成為一個(gè)“自頂向下”階段并伴隨一個(gè)“自底向上”階段。為了保證安全管理過(guò)程的有效執(zhí)行，必須建立符

13、合歐標(biāo)要求的安全組織，由有能力的人員，按照預(yù)定的角色要求，對(duì)安全活動(dòng)進(jìn)行控制。同時(shí)，為了符合相應(yīng)的安全完整性等級(jí)，歐標(biāo)對(duì)不同角色之間的獨(dú)立性存在明確的要求。比如對(duì)于SIL3和SIL4，設(shè)計(jì)人員、驗(yàn)證人員與確認(rèn)人員必須滿足下圖所示的獨(dú)立性1。(a)(b)圖 4 滿足SIL3或SIL4的角色獨(dú)立性關(guān)系圖中，使用點(diǎn)劃線區(qū)分不同組織，即評(píng)估人員與其它人員必須屬于不同的組織；使用實(shí)線表示不同的人。可以看出，驗(yàn)證與確認(rèn)人員必須滿足與設(shè)計(jì)人員的獨(dú)立性。在項(xiàng)目開發(fā)實(shí)踐中，我們采用了符合圖 4(a)的安全組織。3. 項(xiàng)目安全管理實(shí)踐在某鐵路安全信號(hào)平臺(tái)的研究開發(fā)過(guò)程中，為了使產(chǎn)品能夠滿足SIL4的要求，需要相關(guān)

14、技術(shù)安全手段并結(jié)合安全管理和質(zhì)量管理手段才能實(shí)現(xiàn)。而安全管理過(guò)程必須符合一定的流程，安全管理人員必須遵照相關(guān)的安全管理規(guī)定，對(duì)項(xiàng)目安全生命周期中各個(gè)階段進(jìn)行有效管理。下面對(duì)平臺(tái)開發(fā)過(guò)程中的安全管理的實(shí)踐經(jīng)驗(yàn)進(jìn)行總結(jié)。3.1 安全計(jì)劃在安全管理過(guò)程中，首先要制定安全計(jì)劃。安全計(jì)劃不僅包括目標(biāo)，而且包括實(shí)現(xiàn)這個(gè)目標(biāo)需要采取的措施；計(jì)劃制定之后，要按照計(jì)劃使用檢查表的方式對(duì)各個(gè)活動(dòng)進(jìn)行檢查，看是否實(shí)現(xiàn)了預(yù)期效果并達(dá)到了預(yù)期目標(biāo)；通過(guò)檢查找出問(wèn)題和原因，并及時(shí)進(jìn)行處理。在安全計(jì)劃的執(zhí)行過(guò)程中，應(yīng)該在安全生命周期每個(gè)階段結(jié)束后進(jìn)行安全計(jì)劃的評(píng)審，以確保安全計(jì)劃得以有效執(zhí)行。同時(shí)在執(zhí)行過(guò)程中，會(huì)根據(jù)具體執(zhí)

15、行情況對(duì)計(jì)劃進(jìn)行修改，而為了保證計(jì)劃修改的可行性，需要對(duì)修改后的安全計(jì)劃重新進(jìn)行評(píng)審。3.2 系統(tǒng)安全需求規(guī)范系統(tǒng)的安全需求規(guī)范主要包括安全功能和安全完整性要求，這些內(nèi)容可以通過(guò)風(fēng)險(xiǎn)分析過(guò)程得到，并被單獨(dú)記錄在系統(tǒng)安全需求規(guī)范中。根據(jù)不同的安全完整性等級(jí)，所需的安全需求規(guī)范內(nèi)容各不相同。對(duì)于某鐵路安全信號(hào)平臺(tái)，為使系統(tǒng)安全需求規(guī)范制定階段達(dá)到SIL4的要求，應(yīng)該在流程上注意下面幾點(diǎn)：a) 為了明確平臺(tái)中不同子系統(tǒng)的安全特性，確定后續(xù)安全分析對(duì)象，應(yīng)區(qū)分安全相關(guān)子系統(tǒng)和非安全相關(guān)子系統(tǒng)，定義它們之間的接口，并對(duì)這些接口進(jìn)行分析。b) 在項(xiàng)目中，分別對(duì)平臺(tái)、子系統(tǒng)和模塊這三個(gè)層次提出了相應(yīng)的安全需

16、求。為了保證不同層次的功能需求和安全需求具有可追溯性和一致性，使用了需求管理工具和需求對(duì)照表，分別利用自動(dòng)化的方法和人工方法對(duì)需求規(guī)格進(jìn)行檢查。c) 在系統(tǒng)需求規(guī)格定義過(guò)程中，由于涉及到用戶、設(shè)計(jì)者等多方面人員，因此需要一種簡(jiǎn)單明確、無(wú)二義性且容易被大家接受的描述方法對(duì)不同群體的意圖進(jìn)行準(zhǔn)確表達(dá)。半形式化描述語(yǔ)言UML可以很好的表達(dá)不同行業(yè)、不同背景人員的意圖，使用UML可以極大地減少由于信息誤讀或行業(yè)限制造成的溝通困難，較好的完成平臺(tái)需求規(guī)格的定義。d) 風(fēng)險(xiǎn)日志在項(xiàng)目的初期即被建立，在整個(gè)項(xiàng)目生命周期中進(jìn)行了更新和維護(hù)。風(fēng)險(xiǎn)日志的內(nèi)容包括風(fēng)險(xiǎn)源標(biāo)識(shí)、風(fēng)險(xiǎn)源描述、初步分析得到的產(chǎn)生風(fēng)險(xiǎn)源的原

17、因及風(fēng)險(xiǎn)源導(dǎo)致的結(jié)果、風(fēng)險(xiǎn)源的風(fēng)險(xiǎn)指數(shù)、風(fēng)險(xiǎn)源狀態(tài)、風(fēng)險(xiǎn)源負(fù)責(zé)人等內(nèi)容。e) 在需求規(guī)范的編寫過(guò)程中，始終貫徹SMART（Specific, Measurable, Achievable, Realistic, Testable）原則，即具體的、可測(cè)量、可完成、現(xiàn)實(shí)的、可測(cè)試的。SMART原則的遵循，可以有效提高需求規(guī)范的可讀性、可追溯性和可實(shí)現(xiàn)性。f) 在系統(tǒng)功能需求和安全需求規(guī)范定義完成后，為了保證需求規(guī)格能夠正確、完整的反映各方面的要求，通過(guò)會(huì)議評(píng)審的方式對(duì)需求規(guī)格進(jìn)行了檢查與審查。3.3 安全組織安全管理系統(tǒng)必須在一個(gè)適當(dāng)?shù)陌踩M織控制之下，由有能力的人員按照規(guī)定的角色來(lái)執(zhí)行。為保證安

18、全組織中各類人員能夠有足夠能力從事相關(guān)的工作，在項(xiàng)目實(shí)施過(guò)程中，需要在所有安全相關(guān)活動(dòng)中進(jìn)行重復(fù)或定期的培訓(xùn)；同時(shí)動(dòng)態(tài)對(duì)所有人員進(jìn)行人員能力的考核與評(píng)價(jià)，確保所有人員具有較高的技術(shù)教育程度或豐富的經(jīng)驗(yàn)，并對(duì)不合格的人員進(jìn)行特殊培訓(xùn)或更換。安全組織采用如圖 4(a)所示的組織形式。如圖可知，雖然設(shè)計(jì)人員與驗(yàn)證/確認(rèn)人員均處于同一組織，但存在管理上的獨(dú)立性，即驗(yàn)證/確認(rèn)人員在管理體制上完全不受設(shè)計(jì)人員或項(xiàng)目負(fù)責(zé)人的控制，可以獨(dú)立進(jìn)行相應(yīng)的工作，得出獨(dú)立的結(jié)論，并就安全管理存在的問(wèn)題直接向上級(jí)管理機(jī)關(guān)反應(yīng)；評(píng)估人員與其他項(xiàng)目相關(guān)人員不能任職于同一組織，以進(jìn)行獨(dú)立的第三方安全評(píng)估。3.4 系統(tǒng)設(shè)計(jì)與開

19、發(fā)這一階段需要通過(guò)采用一種自頂向下、結(jié)構(gòu)化的設(shè)計(jì)方法實(shí)現(xiàn)系統(tǒng)特定的功能與安全需求，并通過(guò)對(duì)各種設(shè)計(jì)文檔的嚴(yán)格控制和評(píng)審，確保設(shè)計(jì)能夠滿足功能和安全需求的要求。在平臺(tái)結(jié)構(gòu)設(shè)計(jì)過(guò)程中，使用自頂而下的分層設(shè)計(jì)方法，盡量采用模塊法設(shè)計(jì)理念，在保證所有設(shè)計(jì)均能完全追溯到需求規(guī)格的同時(shí)，盡量使用完全經(jīng)過(guò)確認(rèn)的、易于理解的且大小受限制的模塊，并確保模塊之間的功能隔離。在軟件設(shè)計(jì)以及軟硬件集成過(guò)程中安全管理的相關(guān)內(nèi)容可以參見(jiàn)文檔4。為使平臺(tái)能夠具有較好的抗外部干擾能力，在設(shè)計(jì)與開發(fā)過(guò)程中，還需要對(duì)諸如EMC、振動(dòng)等外部干擾進(jìn)行相關(guān)研究和處理。3.5 系統(tǒng)驗(yàn)證與確認(rèn)在平臺(tái)安全計(jì)劃中，還包括了對(duì)生命周期各階段滿足

20、前階段確定的具體安全要求的驗(yàn)證計(jì)劃，以及對(duì)整個(gè)系統(tǒng)滿足安全需求規(guī)格的確認(rèn)計(jì)劃。在圖 3中，虛線所示的就是設(shè)計(jì)實(shí)現(xiàn)階段的各種驗(yàn)證活動(dòng)。下面給出不同安全生命周期的驗(yàn)證活動(dòng)：a) 系統(tǒng)需求定義階段：用戶、項(xiàng)目主管部門對(duì)平臺(tái)需求與定義文檔進(jìn)行審核。b) 系統(tǒng)風(fēng)險(xiǎn)分析階段：對(duì)平臺(tái)工作狀態(tài)和功能的UML狀態(tài)圖和時(shí)序圖描述進(jìn)行審核，確認(rèn)其描述的充足性和準(zhǔn)確性；驗(yàn)證對(duì)風(fēng)險(xiǎn)源日志，原因分析，結(jié)果分析，以及風(fēng)險(xiǎn)分析報(bào)告等文檔進(jìn)行驗(yàn)證。c) 系統(tǒng)規(guī)范階段：對(duì)平臺(tái)需求規(guī)格書、安全需求規(guī)格書、驗(yàn)收規(guī)格書等進(jìn)行了驗(yàn)證。d) 設(shè)計(jì)實(shí)現(xiàn)階段：首先對(duì)平臺(tái)結(jié)構(gòu)設(shè)計(jì)進(jìn)行驗(yàn)證；然后對(duì)平臺(tái)各個(gè)子系統(tǒng)中不同軟/硬件模塊的軟/硬件設(shè)計(jì)方案

21、進(jìn)行驗(yàn)證；并對(duì)涉及到安全需求實(shí)現(xiàn)的軟/硬設(shè)計(jì)進(jìn)行專家評(píng)審；接著依據(jù)相應(yīng)層次的設(shè)計(jì)規(guī)格，通過(guò)軟件單元測(cè)試、軟件集成測(cè)試、硬件模塊測(cè)試、子系統(tǒng)軟/硬件集成測(cè)試、系統(tǒng)集成測(cè)試等，對(duì)系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)進(jìn)行驗(yàn)證，確保所有功能和性能需求規(guī)格均得到有效實(shí)現(xiàn)；通過(guò)測(cè)試和分析驗(yàn)證方法，對(duì)每個(gè)安全需求的實(shí)現(xiàn)進(jìn)行驗(yàn)證，確保所有安全需求規(guī)格得到有效實(shí)現(xiàn)；采用FMEA方法，驗(yàn)證硬件的故障模式可以滿足系統(tǒng)安全需求。在安全生命周期的第五階段，即系統(tǒng)確認(rèn)階段，根據(jù)測(cè)試報(bào)告、RAM報(bào)告及安全驗(yàn)證報(bào)告，證實(shí)所開發(fā)的平臺(tái)滿足原始的用戶需求。以上這些驗(yàn)證與確認(rèn)過(guò)程均需要通過(guò)相關(guān)級(jí)別的審批，并產(chǎn)生驗(yàn)證或確認(rèn)報(bào)告。當(dāng)出現(xiàn)對(duì)平臺(tái)的修改或變更時(shí)，相應(yīng)的驗(yàn)證過(guò)程需要重新進(jìn)行。3.6 安全回顧安全回顧可以在安全生命周期中合適的階段及項(xiàng)目安全管理者認(rèn)為必要的時(shí)間進(jìn)行。在平臺(tái)開發(fā)過(guò)程中，在每個(gè)安全生命周期結(jié)束時(shí)，均進(jìn)行了安全回顧。考慮到風(fēng)險(xiǎn)分析階段在系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)過(guò)程中也要不斷循環(huán)進(jìn)行，因此對(duì)該階段根據(jù)階段性成果進(jìn)行了數(shù)次安全回顧。安全回顧一般采用安全管理人員組織相關(guān)人員，通過(guò)回顧會(huì)